インタビュー
» 2020年05月29日 08時00分 公開

産業制御システムのセキュリティ:社内にマルウェアが常駐する製造業、セキュリティ対策は何から始めるべきか (2/3)

[池谷翼,MONOist]

セキュリティ対策部門の長に誰を据えるか?

MONOist 工場のセキュリティ対策が脆弱な理由は何でしょうか。

扇氏 大別すると2つだ。1つは、IT/OT部門の境目が曖昧で、ネットワーク上にマルウェアを遮断するようなファイアウォールやIPS(Intrusion Prevention System:不正侵入検知防御システム)/IDS(Intrusion Detection System:侵入検知システム)がないためだ。これではマルウェアが侵入したらひとたまりもない。生産工程を管理するための生産管理サーバに侵入されれば、小さいラインはすぐに止まってしまう。

工場の制御システムに潜むセキュリティリスク[クリックして拡大]出典:日立ソリューションズ 工場の制御システムに潜むセキュリティリスク[クリックして拡大]出典:日立ソリューションズ

 もう1つはメンテナンスの問題である。国内企業はメンテナンス作業をシステムベンダーに丸投げしがちだ。これは他国と比較すると独特の文化ともいえる。さらに生産ラインごとにメンテナンス担当企業が異なり、工場内には常時、さまざまなベンダーの担当者が混在して作業を行っている。一言でいえばセキュリティガバナンスが甘く、メンテナンス担当者のUSBからマルウェアが侵入するケースも多いようだ。

 ちなみに上記2点のうち、どちらが侵入経路として狙われやすいかというと、当社のようなIT企業はOA環境からの侵入被害をよく耳にするが、機械メーカーやシステムベンダーはUSB経路での感染が多いと報告しており、実際には五分五分だろうと思う。

MONOist セキュリティガバナンスの問題は製造業全体に共通しているのでしょうか。

扇氏 従業員数万人レベルの超大手企業ではガバナンスがしっかりと整備されているところがほとんどだ。だが日本の製造業の大部分を占めている中堅企業、ティア3、4くらいの企業での取り組みはまだ進んでいない印象がある。

MONOost 今後、セキュリティ対策を本格化させようとする企業が優先的に取り組むべきポイントはありますか。

扇氏 体制面でいうとセキュリティ対策専任の部門を作ることが大事だ。セキュリティ対策業務を情報システム部門に丸投げしている企業も多いが、これは問題だ。普段の業務と並行しつつ新しい業務に取り組むというのは、業務負担が大きく誰もやりたがらない。結局、セキュリティの導入が進まなくなる。情報セキュリティ推進室やリスク管理部門、あるいはIoTに今後重点的に取り組むのであればIoT推進室を社内に立ち上げて、そこを中心として活動させるべきだ。

 この時、対策部門のトップに誰を据えるかが1つのポイントになる。工場のセキュリティ対策は情報システム部門と工場生産管理部門にまたがる領域だ。このため、対策部門を全社組織として動かすという姿勢を明確にすべきだ。だが、ITやセキュリティ部門は製造業において軽んじられているのが現実である。全社的な取り組みを堅実に進めたければ、製造事業の中核を担う製造部門の人間を対策部門のトップに据えることをおすすめしたい。

MONOist 体制面以外ではどうでしょうか。

扇氏 ベンダーも含めて社内にいるメンテナンス作業者に対して、PCやUSBなどの検疫規則を定めることだ。マルウェア対策用の模擬ネットワークをローカルで作り、そこでUSBやPC内のデータをコピーして安全性を試してみれば良い。

 なおセキュリティ対策を実行に移す上では予算も問題になる。企業の規模などにもよるが工場のセキュリティにかけられる予算はせいぜい1千万円程度だと聞いている。だが、IoT化が各企業で進みつつあるとはいえ、現時点では工場内のデータ流通量は少ない。このため10万円程度と比較的安価なファイアウォールや、IPS/IDSを設置することで、WannaCryやEmotetなどのシグネチャを検知してしっかりとブロックできるだろう。OSや有名なアプリケーションの脆弱性をカバーする対策から実行に移していくと良い。

 加えて「今すぐやれることに取り組む」という姿勢を大事にしてほしい。大組織であれば国内、グローバルで複数の工場を抱えていることも珍しくない。だが全拠点で一気にセキュリティ対策を導入しようとすると、各拠点間の調整などに追われて対策の完遂まで多くの時間を費やしてしまう。

Copyright © ITmedia, Inc. All Rights Reserved.